‘Android-apps niet veilig’
Een aantal veelgebruikte Android-apps is onveilig. Hackers kunnen daardoor wachtwoorden en bankgegevens onderscheppen. Dat blijkt uit research van onderzoekers van de Leibniz Universiteit in Hannover. De apps zijn gevoelig voor ‘manin-the-middle’-aanvallen als ze een beveiligde internetverbinding opzetten, melden de onderzoekers in hun paper. Daarmee kunnen gegevens als Facebook-logins, creditcardgegevens en het adresboek van de gebruiker worden onderschept. De onderzoekers noemen om veiligheidsredenen geen enkele app bij naam, maar vermelden wel dat de drie grootste apps met grote gaten in de beveiliging tussen 30 HQ 150 PLOMoHQ JHEUXLNHUV hebben.
Ssl-certificaat
De gaten zitten in de implementatie van ssl. Hiermee worden privégegevens als wachtwoorden en rekeningnummers vergrendeld. Zo controleren sommige apps de VVO-FHUWLfiFDWHQ QLHW, ZDDUGooU ooN VVO-FHUWLfiFDWHQ GLH GooU de onderzoekers zijn ondertekend geaccepteerd worden. SVO-FHUWLfiFDWHQ KoUHQ DOOHHQ vertrouwd te worden als ze GooU HHQ CHUWLfiFDWH AXWKoULWy ondertekend zijn.
Ssl-pinning
Naast de gaten in de ssl-beveiliging bleken ook weinig apps ‘ssl-pinning’ te ondersteunen. Hiermee accepteert de app alleen een door de ontwikkelaar JoHGJHNHXUG FHUWLfiFDDW YooU ssl. Door het ontbreken van ssl-pinning blijven apps vatbaar als een man-in-the-middle-aanval uitgevoerd wordt met een geldig, maar verkeerd FHUWLfiFDDW.
MalloDroid
De onderzoekers zijn van plan een web app beschikbaar stellen met de naam MalloDroid. Daarmee kunnen gebruikers zHOI FKHFNHQ oI KXQ DSSV JoHG beveiligd zijn.
(Telegraaf)